Евгений Афонин считает, что только внедрение систем SIEM поможет защититься от мошенничества |
«Требования по срокам такие, что уложиться в них банки могут только с помощью автоматизированной системы», — отметил Лев Фисенко, директор департамента «Информзащиты» по работе с финансовыми организациями. Хотя Дума перенесла полное вступление в силу ФЗ-161 еще на год, заниматься внедрением систем защиты от мошенничества и расследования инцидентов нужно уже сейчас — проекты по внедрению соответствующих решений достаточно длительны.
Для того чтобы изучить, а иногда и предотвратить инцидент банк сейчас может использовать две технологии: систему защиты от мошенничества ("антифрод") и управление информацией и событиями информационной безопасности (Security Information & Event Management, SIEM), некоторое время они развивались параллельно, но сейчас обладают почти одинаковыми возможностями в части расследования фактов мошенничества. Системы антифрода поставляются, как правило, с набором типовых правил для защиты банка, которые можно подстроить под нужды заказчика. SIEM также требует настройки реакции на события — для этого поставляется набор отраслевых настроек для банков. По словам Евгения Афонина, начальника отдела системной архитектуры компании «Информзащита», SIEM позволяет реализовать все возможности антифрода, в то время как на последнем практически невозможно обработать события информационной безопасности. «Российские банки находятся в уникальной ситуации, когда можно одновременно вести проекты по внедрению и SIEM, и антифрода, значительно сэкономив на этом», — заявил Афонин. Обе технологии банкам нужны для соответствия требованиям платежных систем.
Они могут работать в реальном времени, не только выявляя уже совершившееся мошенничество, но и останавливая потенциально возможное. Таким образом, при внедрении SIEM с настроенными правилами по защите от мошенничества можно вообще избежать инцидентов, поскольку система не будет позволять злоумышленникам совершать опасные для банка операции.
Основным источником проблем с мошенничеством сейчас является дистанционное банковское обслуживание (ДБО). Причем если совсем недавно мошенников интересовали в основном крупные клиенты, то сейчас, по заверениям Афонина, ситуация изменилась — злоумышленники научились автоматизировать процесс атаки на клиентов, и поэтому для них эффективны оказались и операции по краже небольших сумм со счета, в результате под угрозу попали в том числе и физические лица. В то же время от массовых атак защититься банку сложнее — нужно автоматизировать обработку заявлений клиентов и расследование инцидентов. Это требует процессного подхода с распределением ролей и выдачей ответов в назначенные законом сроки, поскольку для настройки подобных процессов также необходимо определенное время.
Кроме того, банки начали внедрять мобильные системы ДБО, которые могут привести к появлению новых типов мошенничества. Платежи в таких системах исполняются только после подтверждения кода транзакции, отосланного на телефон клиента. Однако клиентские мобильные телефоны также оказались под ударом — хакеры научились перехватывать сообщения и с помощью специальных троянцев подтверждать мошеннические транзакции. В результате банкам потребовались решения для защиты клиентских устройств, причем ограничивать набор платформ мобильных устройств они не в праве. Решения для защиты мобильных устройств на семинаре представили компании Check Point, Fortinet и «Лаборатория Касперского». Их продукты позволяют зашифровать приложения, которые обеспечивают мобильную работу с банками, и для запуска такого приложения будет необходим отдельный пароль, защищающий от несанкционированного запуска приложения на мобильном устройстве.